четверг, 10 июля 2014 г.

Персональные данные и их защита

При обсуждении защиты персональных данных с точки зрения российского законодательства часто возникает путаница с терминологией. Причиной этого является путанность и несовершенство самих законов - про это много и хорошо написано тут http://lukatsky.blogspot.ru/

Для наведения некоторого порядка в голове привожу перечень нормативных актов и основные определения терминов и понятий из области защиты персональных данных, актуальных в июле 2014 года.

Терминология

ЗИ - защита информации
ИС - информационная система
ИСПДн - информационная система персональных данных
МЭ - межсетевой экран
НДВ - недекларированные возможности
НСД - несанкционированный доступ
ПДн - персональные данные
СВТ - средства вычислительной техники
СЗИ - средства защиты информации

Нормативная база

3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа).


Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва
"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Методические материалы ФСТЭК России
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года.
  • Приказ ФСТЭК России от 18 февраля 2013 г. N 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Методические материалы ФСБ России
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года.
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года.
В соответствии с положениями федерального закона от 27 декабря 2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“», вступившего в силу 29 декабря 2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПДн шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путем организации криптографической защиты данных, перестали носить обязательный характер.

Приказ трех ведомств

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.

Классификация информационных систем персональных данных (ИСПДн)


Категории персональных данных (Хпд):
  • категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • категория 4 - обезличенные и (или) общедоступные персональные данные.

Информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:
  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

От класса ИСПДн зависит, какие требования по обеспечению безопасности персональных данных должны выполняться в данной информационной системе. Чем ниже класс ИСПДн, тем выше требования по обеспечению ее защиты.

Типовой информационной системе присваивается один из следующих классов:
  • класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  • класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  • класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  • класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Что такое информационная система и как ее защищать?



Определение уровня защищенности персональных данных на основе ПП № 1119.

Интеллект-карта ПП 1119


На основании ПП № 1119 следует составить "Акт определения уровня защищенности ПДн при их обработке в ИСПДн". Подробно описано тут http://ryndinvs.blogspot.ru/2013/06/blog-post_18.html

Начать нужно с названия документа: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********»

Определяется состав комиссии. Можно таблицей, можно текстом.

Далее пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Пример формулировки «Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»,   определила:» 

Далее по пунктам расписываем, что определила комиссия, а именно:
  • Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические,  специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
  • Объём обрабатываемых персональных данных. Здесь все просто, либо менее 100 000, либо более 100 000.
  • Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем,  какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
  • Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
  • К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
  • Структуру ИСПДн (автономная, локальная, распределенная)
  • Имеются ли подключения ИСПДн к сетям общего пользования
  • Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
  • Имеется ли разграничение доступа
  • Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)



Завершающий аккорд: определение необходимого уровня защищенности. Формулировка здесь также свободная, можно добавить отсылку на модель угроз:
По результатам анализа исходных данных, а также основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «********», в информационной системе «********» требуется обеспечение Х  уровня защищенности персональных данных.

Требования по обеспечению уровней защищенности по ПП №1119


Меры по защите персональных данных по приказу ФСТЭК России от 18 февраля 2013 г. N 21

Меры расписаны в самом прикаже, его текст находится тут -
http://fstec.ru/normativnye-pravovye-akty-tzi/110-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/692-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

Построение моделу угроз хорошо описано тут - http://obarsukov.blogspot.ru/2013/06/1119-21.html 

Класс защищенности - распределение показателей защищенности по классам СВТ

РД СВТ Защита от НСД к информации. Показатели защищенности от НСД к информации.

Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

  • первая группа содержит только один седьмой класс;
  • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.



Классы защищенности межсетевых экранов

РД. СТВ. Межсетевые экраны. Защита от несанкционированного доступа к информации
Показатели защищенности от несанкционированного доступа к информации

Устанавливается пять классов защищенности МЭ.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в соответствии с руководящими документами Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации”.

При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
- при обработке информации с грифом “секретно” - не ниже 3 класса;
- при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
- при обработке информации с грифом “особой важности” - не ниже 1 класса.


Уровень контроля НДВ

РД Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
Требования к уровню контроля


Как проверять - http://www.mstandard.ru/certification/03/

Класс АС

РД Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации.

Классификация автоматизированных систем устроена иначе. 
  • Устанавливается девять классов защищенности АС от НСД к информации.
  • Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
  • Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
  • В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
  • Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
  • Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
  • Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.


Комментариев нет: